アメリエフ株式会社様 – 顧客事例 –

成長著しいバイオインフォマティクス領域で独自のポジションを築いているアメリエフ株式会社は、今後の事業拡大を見据えてISMS/ISO27001認証を取得しました。自社の文化を維持できるルール作りを目指して選んだコンサルティング会社がLRMです。ISMS/ISO27001認証取得に至るまでの経緯と成果、今後の課題などについて、代表取締役社長・山口昌雄氏、取締役COO・金景順氏、管理部門・山本友美氏にお話を伺いました。

（アメリエフ株式会社について）

膨大な量の生命情報をコンピューター解析するバイオインフォマティクス領域で事業を展開するベンチャー企業。遺伝子解析技術をコアスキルとし、研究機関や医療機関を対象に、遺伝子情報の受託解析、遺伝子情報を解析するためのソフトウェアやシステムの開発、さらに遺伝子解析に関するトレーニングなどを行っている。健康事業市場やヘルスケア市場が拡大する中、遺伝子解析の基礎研究分野からスタートし、そこで蓄積した技術をもとに医療分野へと領域を拡大している企業は国内でも珍しく、貴重な存在である。2016年には「リアルテックベンチャー・オブ・ザ・イヤー 2016」を受賞。遺伝子解析技術の活用で、1人ひとりの遺伝子特性に合わせた高い治療効果や副作用の抑制が期待できる治療法・薬剤の選択を可能とするとともに、新薬開発などに貢献することで、より豊かで健康な人類社会の実現を目指す。
設立；2010年3月。本社；東京都。従業員数；約20名。

「ISMSの効果的な運用を実現できるコンサルティング会社を選定しました」
（取締役COO・金景順氏）

— ISMS認証を取得することを決めた時期はいつ頃ですか。

2018年に入ってから検討を始め、年度末の忙しさが落ち着き始める3月末ぐらいからコンサルティング会社の選定に着手しました。

— コンサルティング会社の選定要件をお話し下さい。

弊社が求めたのはITに理解があり、柔軟に対応していただけるコンサルティング会社です。ISMSを効果的に運用するには、従業員の協力を得られるかどうかが重要です。
それについて最も懸念していたのがクラウドツールの活用についてでした。
弊社は、社内におけるコミュニケーションやファイル共有に、チャットやストレージなどのクラウドサービスを活用しています。こういったクラウドサービスの活用が制限されてしまうと、業務のスピード感は損なわれ、従業員の協力は得られなくなる可能性があります。クラウドツールの利用に必要以上の制限をかけずに、従来通りの業務スピードを維持するには、ITに対する理解があるコンサルティング会社のサポートが必要でした。

コンサルティング会社の選定では5社ほどピックアップして、それぞれお会いして話をしましたが、従来の実績や実際にお会いした際の説明から判断してLRMに依頼しました。

— 比較された会社はどのようなコンサルティング会社でしたか。

他社は、歴史が長く、その分考え方も古いという印象の会社ばかりでした。弊社は新しい市場で事業を行っていますので、新しい潮流に柔軟に対応していただけるコンサルティング会社の方が文化的にも合うと思いました。
LRM自体が若い会社ということも選定する上で重要なポイントとなりました。

さらに、コンサルタントの仕事は「話を聞いて提案する」ことだと思いますが、そういう意味でもLRMには期待が持てました。選定段階でお会いしたのは営業の方でしたが、とても話がわかりやすく、営業担当者がこれだけ話が出来るならコンサルタントも大丈夫だろうと思えるほどでした。最後にコンサルティングを担当される大谷さんともお会いして、そういった印象が崩れることはなかったため、正式に契約を結びました。

「LRMに相談すれば具体例を交えてわかりやすくアドバイスしてくれました」
（管理部門・山本友美氏）

— LRMとの打ち合わせはどのぐらいのペースで何回ぐらい行いましたか。

2週間に1回のペースで、計10回ぐらい行いました。 その中で9月頭にはルールの大枠が固まり、その後、運用しながら改善していきました。

— 御社内で担った作業をお話し下さい。

情報資産の洗い出し、各種記録用の様式類の作成などは、社内で行いました。
マニュアル類はリスクアセスメントに基づいてLRMにひな形を作っていただき、打ち合わせの際に読み合わせをしながら、弊社の運用に合わせて修正していきました。

— 全体を通してご苦労はございましたか。

まず大変だなと思ったのが情報資産の洗い出しです。一通りリストアップした後も、増えたり減ったりするものなので、どのタイミングで切っても完璧に揃ったという状態にはなりませんし、現場の責任者すら把握していなかったものが見つかることもありました。それらをいかに整理して管理出来る状態にするかは難しいと思いました。

また、細かいルールの構築や書式類の作成などの宿題は、普段の業務と並行して作業していましたので、両立させる大変さもありました。

— そういった中でLRMはどのようなサポートをしましたか。

情報資産の洗い出しに関しては、一旦、我々自身でまとめたものをLRMにチェックしてもらい、アドバイスを受けながら整理していきました。

日常業務との両立に関しては、自分達で考えても判断出来ないことがあった時は、LRMに相談してアドバイスをいただきました。例えばLRMと一緒にマニュアルを読み合わせしながら構築したルールは、決まったものから社内に周知し、運用して行きましたが、実際に運用してみると実態とは異なっていることもありましたので、実際の手順に則ったルールに変更するためにどうしたら良いかという相談をしました。

特に判断に迷ったのがレベル感です。例えば個人のスマートフォンにウィルスセキュリティソフトを入れるというルールを検討する際には、iPhoneはどうしたら良いか迷いました。この場合「iOSには入れなくても良いのでは？」というご意見をいただきました。その他のケースでも、「そこまではやらなくても良い」「審査は通るが、できればここまで対策しておいた方が良い」「ここまで対策しなければISMSの要求は満たせない」といったアドバイスをいただき、それを元に検討してルールを決めました。

自分達で考えてもわからないことは、大谷さんに聞けば、他社の事例なども交えて、具体的なアドバイスをいただけるので、無駄に考える時間を費やさずに済みます。そういった点でも頼りにさせていただきました。

— 従業員教育はLRMが提供する情報セキュリティ教育クラウド『セキュリオ』のeラーニング機能を使われたのですね。

そうです。夏までには全員テストを受け終わりました。教材は、弊社独自のルールではなく、情報セキュリティマネジメントシステムの基本とインシデント事例といった一般的な内容でしたので、各自空いた時間を見つけて実施してもらいました。

— 内部監査はどのように実施しましたか。

第1段階審査の後、LRMに審査員を代行していただいて実施しました。審査の予行演習を兼ねて、実際にオフィスやサーバールームにも入っていただいてチェックしていただきました。改めて現場を見ていただいて、ルール化出来ていなかった箇所などをご指摘いただきました。あえて厳しめにチェックしていただいたことで、現場の従業員達の緊張感にもつながり、しっかりと審査に備えることが出来ました。

「ルールを構築し、チェック、改善し続ける仕組み作りの重要性を実感しました」
（代表取締役社長・山口昌雄氏）

— 今回のISMS認証取得の取り組み成果をお話し下さい。

最大の成果は、内外に向けて明確に「これがアメリエフの情報セキュリティマネジメントシステムです」と言えるものが出来たことです。新規の取引先からの監査も安心して迎えることが出来ました。既存のお客様に対してもISMS認証を取得した旨をアナウンスしましたところ、多数の応援のコメントをいただきました。それは狙い通りです。国内で競合となり得る企業の中には品質系の認証を取られているところはありますが、情報系の認証に関しては前例がありませんので、率先して取得出来て良かったと思っています。

— 一連の取り組みを通して、改めて気づいたことなどがございましたら教えて下さい。

今回体系化したルールのほとんどは、従来からやっていたことがベースになっています。そのことから、これまでも自己流ながら、比較的正しい手順で情報を扱うことは出来ていたということは確認することができました。しかしやはり体系化は出来ていませんでしたし、抜け漏れもありました。体系的なルールを作り、チェック、改善し続ける仕組み作りの重要性を実感しました。

— ISMSを構築したことで、作業の効率化やサービスの品質向上につながる要素はありましたでしょうか。

今ちょうど開発体制の見直しが進んでいるところです。システム管理者を勤めているCTOの旗振りのもと、より良い体制作りをしていこうとグループを立ち上げ動き始めています。ISMS認証取得をきっかけに、開発体制が整備され、品質としても高いものをという向上心も生まれました。